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(57) Abstract 

The invention concerns a countermeasurc method in an electronic component using a secret key K cryptographic algorithm, wherein 
the algorithm implementation comprises the use of first means TCo for supplying output data from input data, the output information and/or 
derived data being manipulated by critical instructions. Said countermeasure method provides for the use of other means TCj and/or TC 2t 
such that the output information and the derived data are unpredictable. 

(57)Abrege* 

Dans un composant electronique mettant en oeuvre un algorithme cryptographique a de* secrete K, la mise en oeuvre de l'algorithme 
comprenant Futilisation de premiers moyens TCo pour foumir une donnee de sortie S a partir d'une donnee d'entree E, la donnee de sortie 
et/ou des donnees derivees 6tant manrpulees par des instructions critiques, un proceed de conlre-mcsure prevoit P utilisation d'autres moyens 
TCi et/ou TCj. en sorte que la donnee de sortie et les donnees derivees soient impreoMctibles. 
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PROCEDE DE CONTRE-MESURE DANS UN COMPOSANT 
ELECTRONIQUE METTANT EN OEXJVRE UN ALGORITHMS DE 
CR YPTOGRAPHI E A CLE SECRETE 

La presente invention concerne un procede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cle secrete, 
lis sont utilises dans des applications ovi l'acces a 
des services ou a des donnees est sever ement controle. 
lis ont une architecture formee autour d'un 
microprocesseur et de memoires, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 
cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de telepeage, par exemple 
pour la television, la distribution d' essence ou encore 
le passage de phages d ' autoroutes . 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la literature anglo-saxonne) . D'autres 
algorithmes a cle secrdte existent, comme 1' algorithme 
RC5 ou encore 1' algorithme COMP128. Cette liste n'est 
bien sQr pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 
partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributeur bancaire...) et 
de la cle secrfete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hdte d'authentif ier le 
composant ou la carte, d'echanger des donnees... 
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Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques consistarit en une 
analyse dif f erentielle de consommation en courant et 
qui permettent a des tiers mal intentionnes de trouver 
la cle secrete. Ces attaques sont appelees attaques 
DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du microprocesseur 
executant des instructions varie selon la donnee 
manipulee. 

Notamment, une instruction du microprocesseur 
manipulant un bit de donnee genere deux profils de 
courant differents selon que ce bit vaut "1" ou "0". 
Typiquement, si 1' instruction manipule un "0 H , on a a 
cet instant d' execution une premiere amplitude du 
courant consomme et si 1 ' instruction manipule un M 1 H , 
on a une deuxieme amplitude du courant consommS, 
differente de la premiere. 

Les caracteristiques des algorithmes de 
cryptographie sont connues : calculs effectues, 
parametres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 
applique en entree et du message chiffre fourni en 
r etour . 

Cependant, dans un algorithme de cryptographie, 
certaines donnees calcul^es dependent seulement du 
message applique en clair en entree de la carte et de 
la cle secrete contenue dans la carte. D'autres donnees 
calcul&es dans 1' algorithme peuvent aussi etre 
recalculees seulement a partir du message chiffre 
(generalement foumi en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 
dans la carte. Plus precisement, chaque bit de ces 
donnees particulieres peut etre determine a partir du 
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message d' entree ou de sortie , et d'un nombre limite de 
bits particuliers de la cle. 

Ainsi, a chaque bit d'une donnee particuliere, 
correspond une sous-cle formee par un groupe 
particulier de bits de la cl£. 

Les bits de ces donnees particulieres qui peuvent 
etre predites sont appeles dans la suite, bits cibles. 

L'idee de base de l'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 
courant d'une instruction selon qu'elle manipule un W 1 M 
ou un "0" et la possibility de calculer un bit cible 
par les instructions de l'algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante. 

Le principe de 1/attaque DPA est done de tester une 
hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d' entree connu de l'attaquant, 
une fonction booleenne de selection, fonction de 
l r hypothese de sous-cle, et definie pour chaque courbe 
par la valeur predite pour un bit cible. 

En faisant une hypothese sur la sous-cle concernee, 
on est en effet capable de predire la valeur M 0" ou w l" 
que va prendre ce bit cible pour un message d' entree ou 
de sortie donne. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par le bit 
cible pour 1' hypothese de sous-cle consid£ree, pour 
trier ces courbes en deux paquets : un premier paquet 
regroupe les courbes qui ont vu la manipulation du bit 
cible a "0" et un deuxi^me paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "l" selon 
1' hypothese de sous-cle. En faisant la moyenne de 
consommatioh en courant dans chaque paquet, on obtient 
une courbe de consommation moyenne MO (t) pour le 
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premier paquet et une courbe de consommation moyenne 
Ml(t) pour le deuxieme paquet. 

Si l'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxieme paquet regroupe reellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a M l" . La courbe moyenne de consommation 
M0(t) du premier paquet aura alors une consommation 
moyenne part out sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "0" (profil 0 ) . En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 
chances de valoir "0" que de valoir "1", sauf le bit 
cible qui a toujours eu la valeur "O". Ce qui peut 
s'ecrire : 

M0(t)=[(profil 0 +profil 1 )/2] t;ttci + [profil Q ] tci soit 
M0(t)=[V*4j Mci + [profil 0 ] tci 

oil tci represente les instants critiques, auxquels une 
instruction critique a ete ex^cutee. 

De meme, la courbe .moyenne de consommation Ml(t) du 
deuxieme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "l" (prof . On peut ecrire : 
Ml(t)=[(profil 0 +profil 1 )/2] t ^ tci + [profilj^ soit 
Ml(t)-(Vk4 5 l trtci + [profil^i 

On a vu que les deux profils profil Q et profil 1 ne 
sont pas egaux* La difference des courbes M0(t) et 
Ml(t) donne alors un signal DPA(t) dont l'amplitude est 
egale a prof il Q -prof il 1 aux instants critiques tci 
d' execution des instructions critiques manipulant ce 
bit, c'est a dire, dans l'exemple represente sur la 
figure 1, aux endroits tcO a tc6, et dont 1' amplitude 
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est a peu pres egale a zero en dehors des instants 
critiques. 

Si l'hypoth&se de sous-cle est fausse, le tri ne 
correspond pas a la realite. Statistiquement, il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
courbes ayant vu la manipulation du bit cible a w l" . La 
courbe moyenne resultante M0(t) se situe alors autour 
d'une valeur moyenne donnee par (prof il Q +prof il 1 ) /2=Vm # 
car pour chacune des courbes, tous les bits manipules, 
y compris le bit cible ont autant de chances de valoir 

que de valoir "1". 

Le meme raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consommation en courant Ml(t) 
dont 1' amplitude se situe autour d'une valeur moyenne 
donnee par (prof il Q +prof il 1 ) /2=Vm. 

Le signal DPA(t) fourni par la difference M0(t)- 
Ml(t) est dans ce cas sensiblement egal & zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cle 
fausse est represents sur la figure 2. 

Ainsi l'attaque DPA exploite la difference du 
profil de consommation ^ en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipule, 
pour ef f ectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenne pour 
une hypothese de sous-cle donnee. En effectuant une 
analyse dif f erentielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d' information DPA(t) . 

Le deroulement d'une attaque DPA cons is te alors 
globalement: 

a- a tirer N messages aleatoires (par exemple N 
egal 1000) ; 

b- a faire executer l'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 
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de consommation en courant a chaque fois (mesuree sur 
la borne d' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 

d- a predire, pour chacun des messages aleatoires, 
la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d' entree ou de 
sortie) et de la sous-cle prise en hypoth&se, pour 
obtenir la fonction de selection booleenne; 

e- a trier les courbes selon cette fonction de 
selection booleenne (c'est a dire selon la valeur W 0 W 
ou M l" predite pour ce bit cible pour chaque courbe 
sous 1 'hypothese de sous-cle); 

f- a calculer dans chaque paquet la courbe 
resultante de consommation moyenne en courant; 

g- a effectuer la difference de ces courbes 
moyennes, pour obtenir le signal DPA(t) . 

Si 1' hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent reellement aux 
courbes pour lesquelles le message applique en entree 
ou en sortie a donne un bit cible a w 0" dans la carte 
et les courbes du ideuxieme paquet correspondent 
r §ellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 
"1" dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO a tc6 
correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible) . 

On notera que l'attaquant n'a pas besoin de 
connaitre avec precision les instants critiques. II 
suffit qu'il y ait au moins un instant critique dans la 
periode d' acquisition. 

Si 1' hypothese de sous-cle n'est pas juste, le tri 
ne correspond pas a la realite et on a alors dans 
chaque paquet autant de courbes correspondant en 
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realite a un bit cible a "0" que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2). II faut retourner a 1'etape c- et fa ire une 
nouvelle hypothese sur la sous-cle. 

Si 1' hypothese s'avere juste , on peut passer a 
devaluation d'autres sous-cl6s, jusqu'a avoir 
reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES, on utilise une cle de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles. 

La presente invention a pour but de mettre en 
oeuvre dans un composant electronique, un proc£de de 
contre-mesure qui entraine un signal DPA(t) nul, meme 
dans le cas ou 1'hypothese de sous-cle est juste. 

De cette fa^on, rien ne permet de distinguer le cas 
de 1' hypothese de sous-cle juste des cas d' hypotheses, 
de sous-cle fausses. Par cette contre-mesure, le 
composant electronique est pare contre les attaques 
DPA. 

Selon 1' invention, le procede de contre-mesure 
permet de rendre impredictibles les bits cibles, c'est 
a dire les donnees manipulees par des instructions 
critiques. 

En effet, du fait de la contre-mesure, pour chaque 
message applique en entree, un bit cible manipule par 
une instruction critique prend la valeur 0 ou 1 avec 
une egale probability . Dans chaque paquet de courbes 
que fera l'attaquant sous une hypothese de sous-cle 
donnee, au moyen de la fonction de selection booleenne 
qu'il aura calculee, on aura autant de courbes ayant 
reellement manipule un bit cible H 0" que de courbes 
ayant reellement manipulS un bit cible a "I 11 . Le signal 
DPA(t) sera tou jours nul, que 1' hypothese de sous-cle 
soit juste ou non. 
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Telle que caracterisee, 1' invention concerne done 
un precede de contre-mesure dans un composant 
electronique roettant en oeuvre un algorithme 
cryptographique a cle secrete , la mise en oeuvre de 
5 1' algorithme comprenant 1' utilisation de premiers 
moyens pour fournir une donnee de sortie a partir d'une 
donnee d' entree , la donnee de sortie et/ou des donnees 
derivees etant manipulees par des instructions 
critiques* Selon 1' invention, le proced£ de contre- 

10 mesure prevoit 1' utilisation d'autres moyens, en sorte 
que la donnee de sortie et les donnees derivees soient 
impredictibles . 

Selon 1' invention, l'utilisation des diff brents 
moyens est geree selon une loi statistique de 

15 probability un demi. 

D'autres caracteristiques et avantages de 
1' invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
20 reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que l'onpeut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 
une attaque DPA; 

25 - les figures 3 et 4 sont des organi'grammes 

d' execution des premiers tours et derniers tours de 
1' algorithme DES; 

- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisee dans 1' algorithme DES; 

30 - la figure 6 montre un exemple de table de 

constante elementaire a une entree et une sortie 
utilisee dans 1'operation SBOX; 

- les figures 7 et 8 montrent un exemple 
d'organigramme d' execution des premiers et derniers 

35 tours de 1' algorithme DES, selon un mode de realisation 
du procede de contre-mesure selon 1' invention; 
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- les figures 9 et 10 montrent respect ivement une 
deuxieme et une troisieme tables de constantes 
elementaires selon 1' invention; 

- la figure 11 represent e un organigramme general 
d' execution du DES selon un mode de realisation du 
procede de contre-mesure selon 1' invention; et 

- la figure 12 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 
dans lequel le procede de contre-mesure selon 
1' invention est mis en oeuvre. 

La presente invention va etre expliquee dans un 
exemple d' application a 1 ' algorithme cryptographique 
DES. 1/ invention n'est pas limitee a ce seul exemple. 
Elle s' applique aux algorithmes cryptographiques a cle 
secrete en general. 

L' algorithme cryptographique DES (dans la suite on 
parlera plus simplement du DES ou de 1' algorithme DES) 
comporte 16 tours de calcul, notes Tl a T16, comme 
represents sur les figures 3 et 4. 

Le DES debute par une permutation initiale IP sur 
le message d'entree M (figure 3). Le message d'entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que l'on coupe en deux pour former 
les parametres d' entree L0 et RO du premier tour (Tl) . 
LO est un mot d de 32 bits contenant les 32 bits de 
poids forts du mot e. RO est un mot h de 32 bits 
contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le parametre RO, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits. 
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Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits. Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 
notee COMP PERM) . 

Le mot b est applique a une operation not£e SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits* 
Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6. 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 32 bits. 

Ce mot c est combine au parametre d' entree LO du 
premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d' entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
Le mot p du premier tour fournit 1' entree r du tour 
suivant. , 

Les autres tours T2 a T16 se deroulent de fa<?on 
similaire, excepte en ce qui concerne 1' operation de 
decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti regoit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
parametres Li, Ri et r pour le tour suivant Ti+1. 

En fin d'algorithme DES (figure 4), le message 
chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 
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- application de la permutation IP" 1 inverse de 
celle de debut de DES, pour obtenir le mot f de 64 
bits formant le message chiffre C. 

L' operation SBOX est detaillee sur les figures 5 et 
5 6, Elle comprend une table de constantes TC Q pour 
fournir une donnee de sortie a en fonction d'une donnSe 
d' entree b. 

En pratique, cette table de constantes TC Q se 
presente sous la forme de huit tables de constantes 

10 elementaires TC 0 1 a TC Q 8, chacune recevant en entree 
seulement 6 bits du mot b # pour fournir en sortie 
seulement 4 bits du mot a. 

Ainsi, la table de constante Slementaire TC Q 1 
representee sur la figure 6 regoit comme donnee 

15 d' entree, les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 

En pratique ces huit tables de constantes 
elementaires sont memorisees en m&moire programme du 
composant electronique- 

20 Dans 1' operation SBOX du premier tour Tl, un bit 

particulier de la donnee a de sortie de la table de 
constante TC Q depend de ; seulement 6 bits de la donnee b 
appliquee en entree, c'est a dire de seulement 6 bits 
de la cle secrete K et du message d' entree (M) . 

25 Dans 1 ' operation SBOX du dernier tour T16, un bit 

particulier de la donnee a de sortie de la table de 
constante TC Q peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chiffre (C) . 

Or si on reprend le principe de 1'attaque DP A, si 

30 on choisit comme bit cible un bit de la donnee de 
sortie a, il suffit de faire une hypothese sur 6 bits 
de la cle K, pour predire la valeur d'un bit cible pour 
un message d' entree (M) ou de sortie (C) donne. En 
d'autres termes, pour le DES, il suffit de faire une 
35 hypothese sur une sous-cle de 6 bits. 
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Dans une attaque DPA sur un tel algorithme pour un 
bit cible donn§, on a done a discriminer une hypothese 
de sous-cle juste parmi 64 possibles* 

Ainsi, en prenant seulement huit bits du mot a 
5 comme bits cibles, (un bit de sortie par table de 
constantes elementaire TC Q 1 a TC Q 8) , on peut decouvrir 
jusqu'a 6x8=48 bits de la cle secrete, en faisant des 
attaques DPA sur chacun de ces bits cibles. 

Dans le DES, on trouve done des instructions 
10 critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin. 

Au d6but de 1' algorithme DES, les donnees qui 
peuvent etre predites a partir d'un message d' entree M 
et d'une hypothese de sous-cle, sont les donnees a et g 
15 calculees dans le premier tour (Tl) . 

La donnee a du premier tour Tl (figure 3) est la 
donnee de sortie de 1' operation SBOX du tour considere. 
La donnee g est calculee a partir de la donnee a, par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
20 parametre d' entree LO. 

En fait, la donnee c du premier tour, est une 
donnee derivee de la t donnee a du premier tour. La 
donnee derivee c correspond a une simple permutation de 
bits de la donnee a. 
25 La donnee 1 du deuxieme tour est une donnee derivee 

de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
g etant en outre dupliqu§s. 

Connaissant a et g f on peut aussi connaitre ces 
30 donnees derivees. 

Les instructions critiques du debut de l'algorithme 
sont les instructions critiques qui manipulent soit la 
donnee que l'on peut predire, comme la donnee a du 
premier tour, soit une donnee derivee. 
35 Les instructions critiques manipulant la donnee a 

du premier tour Tl ou la . donnee derivee c sont ainsi 
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les instructions de fin de 1' operation SBOX, de 
1' operation P PERM et de debut de 1' operation XOR du 
premier tour Tl. 

Les instructions critiques manipulant la donnee g 
ou des donnees derivees sont toutes les instructions de 
fin d' operation XOR de fin du premier tour Tl jusqu'aux 
instructions de debut d' operation SBOX du deuxieme tour 
T2, et les instructions de debut d' operation XOR de fin 
du troisieme tour T3 ( L2 = h(T2) = g(Tl) ). 

En fin d'algorithme DES, les donnees qui peuvent 
etre predites a partir d'un message chiffre C et d'une 
hypothese de sous-cle, sont la donnee a du seizieme 
tour T16 et la donnee L15 egale au mot h du quatorzieme 
tour T14. 

Les instructions critiques manipulant la donnee a 
du seizieme tour ou des donnees derivees sont les 
instructions du seizieme tour de fin d' operation SBOX, 
de 1' operation de permutation P PERM et de debut 
d' operation XOR. 

Pour la donnee L15, les instructions critiques 
manipulant cette donnee ou des donnees derivees sont 
toutes les instruct ions v depuis les instructions de fin 
d' operation XOR du quatorzieme tour T14, jusqu'aux 
instructions de debut d' operation SBOX du quinzieme 
tour T15, et les instructions de debut d' operation XOR 
de fin du seizi&ne tour T16. 

Le procede de contre-mesure selon 1' invention 
applique a cet algorithme DES consiste a avoir, pour 
chaque instruction critique, autant de chances que 
1' instruction critique manipule une donnee que son 
complement, Ainsi / quel que soit le bit cible sur 
lequel l'attaque DPA peut §tre faite, on a autant de 
chances que les instructions critiques qui manipulent 
ce bit, manipulent un "1" ou un "0". 

En pratique, ceci doit etre vrai pour chacun des 
bits cibles potent iels : en d'autres termes, 
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l'attaquant ayant le choix entre plusieurs attaques 
possibles, c'est a dire entre plusieurs foncrtions de 
selection booleenne possibles pour effectuer son tri de 
courbes, pour une hypothese de sous-cle donnee, la mise 
en oeuvre du procede de contre-mesure selon 1' invention 
doit s'attacher a ce que les donnees manipulees par 
chacune des instructions critiques, prennent 
aleatoirement, une fois sur deux, une valeur ou son 
complement. En ce qui concerne 1' application du procede 
de contre-mesure selon 1' invention a 1'algorithme DBS, 
il faut done appliquer la contre-mesure aux 
instructions critiques de debut de DES et aux 
instructions critiques de fin de DES, pour etre 
totalement protege. 

Dans le DES, toutes les donnees manipulees par des 
instructions critiques sont une donnee de sortie ou des 
donnees derivees d'une donnee de sortie d'une operation 
SBOX. 

En effet, en debut de DES, les donnees qui peuvent 
etre predites sont les donnees a et g du premier tour 
Tl. La donnee a est la donnee de sortie de 1' operation 
SBOX du premier tour. La donnee g est calculee a partir 
de la donnee a, puisque g = P PERM (a) XOR LO. g est 
done une donnee derivee de la donnee de sortie a de 
1' operation SBOX du premier tour. Ainsi, toutes les 
donnees manipulees par les instructions critiques de 
debut de DES decoulent directement ou indirectement de 
la donnee de sortie a de 1' operation SBOX du premier 
tour. 

En ce qui concerne la fin de DES, les donnees qui 
peuvent etre predites sont la donnee a du seizieme tour 
T16 et la donnee g du quatorzieme tour T14, g etant 
egale a L15. 

La donnee a est la donnee de sortie de 1' operation 
SBOX du seizieme tour T16. 
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Quant a la donnee LIS, elle se calcule, dans 
1' execution normale de 1'algorithme DES, a partir de la 
donnee de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM (a) XOR L14. 

Si on rend impredictibles les donnees de sortie a 
de ces operations SBOX particulieres, on rend aussi 
impredictibles toutes les donnees derivees : on rend 
done impredictibles toutes les donnees manipulees par 
les instructions critiques de 1'algorithme DES. 

1/ operation SBOX correspond done a des premiers 
moyens , qui consistent en une table de constantes TC Q , 
et qui sont utilises dans chaque tour pour fournir une 
donnee de sortie E a partir d'une donnee d' entree S. 

Un mode de realisation du procede de contre-mesure 
•appliqu£ a 1'algorithme DES peut consister a utiliser 
au moins une autre table de constantes comme autres 
moyens pour rendre impr edict ible la donnee de sortie a, 
en sorte que cette donnee de sortie et/ou des donnees 
derivees manipulees par les instructions critiques 
soient toutes impredictibles. 

Dans 1' execution de 1'algorithme, 1' utilisation des 
diiferents moyens, e'est a dire, dans I'exemple, des 
differentes tables de constantes est geree selon une 
loi statistique de probability un demi. 

L' autre table de constantes ou les autres tables de 
constantes sont telles qu'a l'une et/ou 1'autre des 
donnees d' entree d et de sortie de la premiere table de 
constantes TC Q , elles font correspondre la donnee 
complementee. 

Les figures 7 et 8 representent ainsi un mode 
d' application du procede de contre-mesure de 
1' invention applique a 1'algorithme DES. 

La figure 7 represente le debut de 1'algorithme. 
Les operations et donnees non modifiees par le procede 
de contre-mesure selon 1' invention portent les memes 
references que dans la figure 3 deja decrite. 
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En debut d'algorithme DES, on prevoit une deuxiSme 
table de constante TC X dans 1' operation SBOX du premier 
tour Tl. Toutes les donnees affectees par cette 
deuxieme table de constantes TC^ sont affectees d'un 
signe ' ou d'un signe " sur ces figures. On voit que 
les instructions critiques de debut de DES manipulent 
toutes des donnees affectees par le procede de contre- 
roesure. 

On remarquera que la premiere table de constantes 
etant en fait formee de huit premieres tables de 
constantes, la deuxieme table de constantes est 
egalement formee de huit deuxiemes tables de 
constantes . 

Dans 1'exemple de realisation represents, la 
premiere table de constantes TC Q et la deuxieme table 
de constantes TC-^ sont telles que pour une meme donnee 
d' entree E, la deuxieme fournit en sortie le complement 
/S de la donnee de sortie S fpurnie par la premiere. 

La figure 9 montre une telle deuxieme table 
elementaire TC 1 1 fournissant une sortie complements 
par rapport a la premiere table elementaire TC Q 1 
montree sur la figure 6. 

Avec une telle deuxieme table de constantes TC 1# on 
obtient, en sortie de 1' operation SBOX du premier tour 
Tl, le complement /a de la donnee a obtenue avec la 
premiere table de constante TC Q . De meme, on obtient 
dans le premier tour Tl la donnee complementee /g et 
dans le deuxieme tour T2, les donnees complementees /h, 
/L2, /I et /b. 

En utilisant la premiere table ou la deuxieme table 
pour fournir la donnee de sortie selon une loi 
statistique de probability un demi, tous les bits de 
cible potentiels de debut de DES manipules par les 
instructions critiques ont autant de chances de prendre 
la valeur "1" que de prendre la valeur "0". 
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En fin d'algorithme DES, le mode de realisation du 
procede de contre-meseure selon 1' invention necessite 
1' utilisation de plusieurs tables de constantes 
differentes de la premiere , car il faut considerer a la 
5 fois la donnee de sortie a calculee au quatorzieme tour 
T14, et la donnee de sortie a calculee au seizieme tour 
T16 pour rendre impredictibles tontes les donnees 
manipulees par les instructions critiques de cette fin 
de DES. 

10 Un exemple de realisation du procede de contre- 

mesure applique a cette fin d'algorithme DES est 

represents sur la figure 8. 

II prevoit 1 'utilisation de deux tables de 

constantes TC 1 et TC 2 . 
15 Dans 1' operation SBOX du quatorzieme tour T14, on 

utilise la deuxidme table de constantes TC 1 deja 

utilisee pour le debut du DES. 

Et on utilise une troisieme table de constantes 

TC 2 / dans les operations SBOX des quinzierae et seizieme 
20 tours. 

Cette troisieme table de constantes TC 2 est telle 
qu'elle fournit le complement /S de la donnee de sortie 
S au complement /E de la donnee d' entree E de la 
premiere table de constantes TC Q . Un exemple d'une 

25 troisieme table de constantes elementaire TC 2 1 
correspondante, a partir de la premiere table de 
constantes elementaire TC Q est montre sur la figure 10. 

En utilisant de telles tables de constantes, il 
apparait sur la figure 8 que toutes les instructions 

30 critiques manipulent des donnees complementees. 

L' invention ne se limite pas a ces seuls exemples 
de tables de constantes TC 1 et TC 2 . D'autres 
possibilites existent. Par exemple, pour le procede de 
contre-mesure applique a la fin de DES, il est aussi 

35 possible de combiner 1' utilisation de la table de 
constantes TC n avec une autre table de constantes 
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d6f inie par rapport a la premiere, table de constantes 
TCq conune f ournissant la donnee de sortie S au 
complement /E- de la donnee d' entree. 

D'une maniere generale, la fin de DES necessite 
1 'utilisation de differentes tables de constantes, en 
fonction des tours consideres, pour que toutes les 
donnees manipulees par les instructions critiques de 
cette fin de DES soient impredictibles. 

Le mode de realisation decrit en relation avec les 
figures 7 et 8 a cependant un inconvenient : le procede 
de contre-mesure applique en entree de DES produit des 
resultats intermediates calcules L3' et R3' qui ne 
sont pas justes. Tous les resultats intermediates 
suivants ne sont done pas justes non plus. 

De meme, en fin de DES, le procede de contre-mesure 
applique en entree de DES produit des resultats 
intermediaires calcules L16' et R16' qui ne sont pas 
justes. 

Dans tous les.cas, le message chiffre est faux. 

Dans ce mode de realisation de 1' invention, il faut 
done prevoir de pouvoir reprendre a chaque fois la 
suite de 1' algorithms avec les bons resultats 
intermediaires, une fois les instructions critiques 
passees. 

En pratique, comme on a vu que les instructions 
critiques de debut de DES se trouvent dans les trois 
premiers tours, on va dedoubler ces trois premiers 
tours. En d'autres termes, on prevoit d'executer deux 
sequences comprenant chacune les trois premiers tours 
Tl, T2, T3 au moins. Une premiere sequence SEQA utilise 
la premiere table de constantes TC Q dans chaque tour. 
L' autre sequence SEQB utilise la deuxieme table de 
constantes TC^ au moins dans le premier tour Tl. Dans 
1'exemple represents, on utilise la premiere table de 
constantes dans les deux tours suivants T2 et T3. 
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On a vu que dans le proceed de contre-mesure selon 
1' invention, 1' utilisation des differents moyens, e'est 
a dire, dans 1' exemple, l'utilisation des differentes 
tables de constantes, est geree selon \ine loi 
statistique de probabilite un demi. Cette loi 
statistique de probability un demi est alors plus 
particuli&rement appliquee a l'ordre d' utilisation de 
ces differents moyens, e'est a dire, dans 1'exemple, a 
l'ordre d' execution des deux sequences SEQA et SEQB. 

De meme, pour avoir les bons parametres L16 p.t R16 
en fin de DES pour elaborer le message chiffre C, on 
dedouble egalement les trois tours T14, T15 et T16 
(figure 7) qui contiennent les instructions critiques 
de fin de DES. On va done executer deux sequences qui 
comprennent au moins les trois derniers tours T14, T15, 
T16. Une premiere sequence SEQA' utilise dans chaque 
tour la premiere table de constantes TC Q . L' autre 
sequence SEQB' utilise les autres tables de constantes 
TC 1 et TC 2 . Comme pr ecedemment , la loi statistique de 
probabilite un demi est alors appliquee a l'ordre 
d' execution de ces deux sequences SEQA' et SEQB'. 

Les instructions critiques sont alors executees 
deux fois, une dans chaque sequence. Mais au moment de 
1' execution de n'importe laquelle des instructions 
critiques de l'une ou 1' autre des sequences, la 
probabilite de manipuler une donnee sera egale a la 
probabilite de manipuler son complement. 

Le programme de calcul du DES mis en oeuvre dans le 
composant electronique doit done etre modifie pour 
inclure le procede de contre-mesure selon 1' invention - 
Un exemple d' organ igramme d' execution conforme a 
1' invention et mettant en oeuvre le procede de contre- 
mesure en d&but et en fin de DES selon le mode de 
realisation deer it en relation avec les figures 7 et 8 
est represente sur la figure 11. Dans cet exemple, les 
sequences SEQA et SEQB comprennent les trois premiers 
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tours et les sequences SEQA' et SEQB' comprennent les 
trois derniers tours. 

Le programme de calcul consiste alors 
principalement, au debut du calcul, a sauvegarder les 
parametres d' entree notes DATAIN et KEY, qui 
correspondent en pratique aux parametres LO, RO et r, 
dans une zone memoire temroraire notee CONTEXTO. 

Selon ce programme de calcul, on positionne ensuite 
un premier compteur de boucle FR a 0, et on tire 
aleatoirement une valeur RND1 egale a 0 ou a 1. 

Si RND1 vaut 1, dans l'exemple, on effectue d'abord 
la sequence SEQB de Tl, T2, T3, dans laquelle on 
utilise la deuxieme table de constantes TC X au tour Tl 
et la premiere table TC Q pour les tours T2 et T3 . On 
sauvegarde les parametres de sortie L3', R3' (qui ont 
des valeurs fausses) dans une zone memoire temporaire 
notee CONTEXT2. 

Si FR n'est pas egal a 1, on le met a 1, on 
restaure les parametres d' entree du CONTEXTO et on 
complemente la valeur de RND1. Dans l'exemple, on 
obtient RND1=0. On va alors executer. 1' autre sequence 
SEQA de Tl, T2, T3 dans, laguelle on utilise la premiere 
table de constante dans les trois tours Tl, T2 et T3. 
On sauvegarde les parametres de sortie (valeurs justes) 
dans une zone memoire temporaire notee CONTEXT1. 

Si FR est a 1, c'est que l'on a effectue les deux 
sequences. On restaure alors CONTEXT1 pour fournir les 
resultats intermedia ires L3, R3 ayant les valeurs 
justes, au tour suivant (T4) . 

Si RND1 vaut zero, on commence par T1(TC Q ) , 
T2(TC Q ), T3(TC Q ) et on finit par TlfTC^, T2(TC Q ), 
T3(TC Q ). 

Arrive a la fin du tour T13, on sauvegarde les 
parametres fournis par ce tour, L13, R13, dans la 
memoire temporaire CONTEXTO, et on procede pour les 
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tours restants T14, T15 et T16 de fa<?on similaire aux 
premiers tours. 

Dans tous les cas, il faut que le nombre 
d' instructions soit exactement le meme quel que soit le 
chemin de calcul- C'est pour cela notamment que dans 
l'exemple d / application decrit, on prevoit de 
sauvegarder aussi les valeurs fausses (L3', R3' ou 
L16', R16') dans la zone memoire temporaire CONTEXT2. 

En effet si une difference quelconque existait 
entre les deux chemins possibles, il y aurait alors une 
possibility d'attaque DPA fructueuse. 

Le proced6 de contre-mesure selon 1' invention n'est 
pas limite a l'exemple particulier de realisation 
decrit en reference a 1' algorithme DES. Il s' applique a 
tout algorithme de cryptographie a cle secrete. De 
maniere generale, pour toute mise en oeuvre d'un 
algorithme comprenant 1' utilisation de premiers moyens 
pour fournir une donnee de sortie a partir d'une donnee 
d' entree , la donnee de sortie et/ou des donnees 
deriv^es etant manipulees par des instructions 
critiques, le procede de contre-mesure selon 
1' invention comprend 1 utilisation d' autres moyens, en 
sorte que la donnee de sortie et les donnees d^rivees 
soient impredictibles. 

L' utilisation des differents moyens , c'est a dire 
des premiers moyens et des autres moyens, est geree 
selon une loi statistique de probability un demi. 

Les autres moyens peuvent comprendre plusieurs 
moyens differents. lis sont tels qu'a l'une ou a 
1' autre des donnees d' entree et de sortie des premiers 
moyens, ils font correspondre la donnee complementee. 

Dans l'exemple d'un mode d' application du procede 
de contre-mesure au DES plus particulierement decrit, 
les premiers moyens consistent en la premiere table de 
constantes TC Q . Les autres moyens consistent, en debut 
de DES, dans la deuxieme table de constantes TC 1 . En 
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fin de DES, ils consistent en deux tables de constantes 
differentes, TC^ et TC 2 dans l'exemple. 

Pour appliquer le procede de contre-mesure selon 
1' invention a un algorithme de cryptographie a cle 
5 secrete donne, il faut done d'abord determiner toutes 
les donnees de cet algorithme qui peuvent etre predites 
et toutes les instructions critiques au sens de 
l'attaque DPA manipulant ces donnees ou des donnees 
derivees. II faut ensuite identifier dans 1' algorithme 

10 des premiers moyens et des autres moyens au sens de 
1' invention, en sorte que toutes les donnees manipulees 
par les instructions critiques soient impredictibles. 
Les premiers moyens sont, pour 1 ' algorithme DES, la 
table de constantes TC Q Les autres moyens sont dans 

15 l'exemple, d' autres tables de constantes. Ces moyens 
peuvent etre des operations differentes pour d' autres 
algorithmes. Pour un meme algorithme, ces moyens 
peuvent consister en des operations differentes selon 
les instructions critiques identifiees. 

20 Le composant electronique 1 mettant en oeuvre un 

tel procede de contre-mesure dans un algorithme de 
cryptographie a cle secrete comprend typiquement, comme 
represents sur la figure 12, un microprocesseur une 
memoire programme 2 et une memoire de travail 3. Pour 

25 pouvoir gerer 1' utilisation des differents moyens selon 
1' invention, qui sont, dans l'exemple deer it, les 
differentes tables de constantes memorisees en memoire 
programme, des moyens 4 de generation d'une valeur 
aleatoire entre 0 et 1, sont prevus qui, si on se 

30 reporte a la figure 11, fourniront la valeur de RND1 a 
chaque execution du DES. Un tel composant peut tout 
particulierement etre utilise dans une carte a puce CP, 
pour ameliorer leur inviolabilite. 
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REVINDICATIONS 

1. Proc6d6 de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptograph ique a cle secrete (K) , la raise en oeuvre de 
1'algorithme comprenant l'utilisation de premiers 

5 moyens (TC Q ) pour fournir une donnee de sortie (S) a 
partir d'une donnee d' entree (E) , la donnee de sortie 
et/ou des donnees derivees etant manipulees par des 
instructions critiques , caracterise en ce que le 
procede de contre-mesure prevoit 1' utilisation d'autres 
10 moyens (TC 1 ) , en sorte que la donnee de sortie et les 
donnees derivees soient impredictibles. 

2. Procede de contre-mesure selon la revendication 

1, caracterise en ce que 1' utilisation des diff brents 
15 moyens (TC 0 , TC^J est geree par une loi statistique de 

probability un demi. 

3. Procede de contre-mesure selon la revendication 

2, la mise en oeuvre de 1'algorithme comprenant seize 

tours de calcul (Tl, ,T16) , caracterise en ce qu'il 

comprend 1' execution d'une premiere sequence (SEQA) et 
d'une deuxieme sequence (SEQB) formees des trois 
premiers tours au moins (Tl, T2, T3) , l'ordre 
d' execution des sequences etant fonction de la loi 
statistique de probability un demi, la premiere 
sequence (SEQA) utilisant les premiers moyens (TC Q ) 
dans chaque tour, la deuxieme sequence (SEQB) utilisant 
les autres moyens (TC^ dans le premier tour (Tl) au 
moins, 

4. Procede de contre-mesure selon la revendication 

3, caracterise en ce que la premiere et la deuxieme 
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sequences sont formees chacune des trois premiers tours 
(Tl, T2, T3) . 

5. Procede de contre-mesure selon la revendication 
3 ou 4, caracterise en ce que les autres moyens 
consistent en des deuxiemes moyens (TC^) tels que pour 
one meme donnee d' entree (E) , ils fournissent en sortie 
le complement (/S) de la donnee de sortie (S) des 
premiers moyens (TC Q ). 

6. Procede de contre-mesure selon la revendication 
2, la mise en oeuvre de 1'algorithme comprenant seize 
tours de calcul (Tl, ...,T16), caracterise en ce qu'il 
comprend l'ex§cution d'une premiere sequence (SEQA') et 
d'une deuxieme sequence ( SEQB ' ) formees chacune des 
trois derniers tours (T14, T15, T16) au moins, l'ordre 
d' execution des sequences §tant fonction de la loi 
statistique de probability un demi, la premiere 
sequence (SEQA') utilisant les premiers moyens (TC Q ) 
dans chaque tour, la deuxieme sequence (SEQB' ) 
utilisant les autres moyens i^Q.^, TC 2 ) . 

7 . Procede de contre-mesure selon la revendication 
6, caracterise en ce que la premiere et la deuxidme 
sequences sont formees chacune des trois derniers 
tours, et en ce que les autres moyens utilises dans la 
deuxieme sequence comprennent des deuxiemes moyens 
(TC ± ) et des troisiemes moyens (TC 2 ) • 

8. Procede de contre-mesure selon la revendication 
6 ou 7, caracterise en ce que les deuxi&mes moyens 
(TC 1 ) sont tels que pour une meme donnee d'entree (E) , 
ils fournissent en sortie le complement (/S) de la 
donnee de sortie (S) des premiers moyens (TC Q ) et en ce 
que ces deuxiemes moyens sont utilises dans la deuxieme 
sequence (SEQB') pour le quatorzieme tour (T14) . 
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9. Precede de contre-mesure selon la revendication 
8, caracterise en ce que les troisiemes moyens (TC 2 ) 
sont tels que pour le complement de la donnee d' entree 
5 (E) , ils fournissent en sortie le complement (/S) de la 
donnee de sortie (S) des premiers moyens (TC Q ) et sont 
utilises dans la deuxieme sequence, pour le quinzieme 
tour et le seizieme tour (T15, T16) . 

10 10. Procede de contre-mesure selon l'une quelconque 

des revendications precedentes, caracterise en ce que 
les differents moyens sont des tables de constantes. 

11. Composant electronique mettant en oeuvre le 
15 procede de contre-mesure selon l'une quelconque des 

revendications precedentes, caracterise en ce que les 
differents moyens (TC 0 , TC 1# TC 2 ) pour foxirnir xzne 
donnee de sortie a partir d'une donnee d' entree sont 
fixes en memoir e programme du dit composant et en ce 
20 qu'il comprend des moyens de generation d'une valeur 
aleatoire (RND1) a 0 ou a 1 pour gerer 1 'utilisation 
des dits differents moyens. 

12. Carte a puce comprenant un composant 
25 electronique selon la revendication 11. 
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